Opnieuw relevant Ronald Noble, de hoogste baas van Interpol, windt er geen doekjes om: de aanpak van cybercriminelen is wereldwijd verre van voldoende. Ook de AIVD maakt zich zorgen. Vorig jaar werden 480 duizend aanvallen gedaan. En aanvallen op bedrijven worden populairder.
'Steek je hand op als je weet dat je je ict-systeem hebt beveiligd tegen gebruik door onbevoegden.' Een inkoppertje. Welk bedrijf heeft nu geen inlogscherm met wachtwoord en een virusscanner? Het meeste is echter ouwe meuk, zeggen veel experts. De techniek gaat zo snel, de verdiensten kunnen zo enorm zijn en de kennis in het cybercriminele circuit is zo groot, dat zelfs een gedicht lek al een risico is. Want hackers gaan ervan uit dat veel computers niet meteen worden geüpdatet zodra een beveiligingslek bekend gemaakt is. En dan is het voor criminele techneuten een kwestie van: kijk naar de gepresenteerde oplossing voor het lek en ontwikkel dan terug. Zo kan de oplossing voor een probleem dus de bron worden van een nieuwe besmetting. Weinig aan te doen. Tenzij iedereen altijd consequent en heel snel updatet.
Ronald Noble, de secretaris-generaal van Interpol, sprak eind juni tijdens een interview voor CNN over cybercrime. Noble is aan zijn laatste weken als Interpolbaas bezig en maakte de balans op van de afgelopen zestien jaar onder zijn leiding. Zijn totale budget steeg de afgelopen tien jaar van 60 naar 70 miljoen dollar. Dat is niet eens genoeg om de inflatie te compenseren, zegt Noble. Volgens hem heeft Interpol minstens een miljard euro nodig om de boeven bij te houden. 'We zijn het spel aan het verliezen', stelt Noble. 'De boeven zijn aan het winnen. Onderschat niet hoeveel geld en kennis er bij cybercriminele organisaties is. En het zijn wereldwijd opererende misdaadsyndicaten.' De VN schatten dat cybercrime na drugshandel de meeste succesvolle vorm van 'zakendoen' is.
Lage dijken
Plaatsvervangend hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), Marc Kuipers, sprak afgelopen maand van een 'ongemakkelijke waarheid'. Van slecht nieuws dat we liever niet willen horen. 'Onze digitale dijken zijn te laag', aldus de AIVD-chef. 'We zien steeds meer aanvallen en die zijn steeds geavanceerder. Wil ons land de digitale toegangspoort tot Europa blijven, dan moeten we onze digitale grensovergangen beter beveiligen.'
Vooral bedrijven worden nu slachtoffer, en dan met name die uit topsectoren als hightech, energie en chemie. De aanvallen worden veelal uitgevoerd door andere landen die uit zijn op intellectueel eigendom en vertrouwelijke bedrijfsgegevens zoals blauwdrukken van producten, stelt de AIVD. Kuipers wil alleen de bekende namen als China, Rusland en Iran noemen, maar veel geheime diensten – ook die van bevriende landen – hebben de opdracht om aan economische spionage te doen. Nederland is voor cyberspionnen een aantrekkelijk doelwit vanwege de hoogwaardige kennisindustrie en het veelvuldige gebruik van bedrijfssoftware. Ook maken cybercriminelen steeds vaker gebruik van Nederlandse infrastructuur om vanuit ons land aanvallen te doen op buitenlandse bedrijven, zegt de AIVD. Hoe betrouwbaarder en essentiëler een systeem is, hoe minder vaak het geüpdatet wordt, zegt de AIVD. Updaten kost tijd, dat legt de productie stil (bijvoorbeeld van een boorplatform) en de werking van het systeem kan na een update niet gegarandeerd worden.
De menselijke factor is de zwakke schakel blijkt uit een inventarisatie van Santiago Pontiroli van Kaspersky. Pontiroli is security researcher Global Reseach & Analysis Team (GReAT) bij het van oorsprong Russische computerbeveiligingsbedrijf. Hij pleit voor een sterke rol van de ict-afdeling bij het handhaven van de regels. 'Je moet een compromis sluiten tussen veilig en werkbaar. Als gebruikers een beveiligingsmethode lastig vinden, zullen ze een manier vinden om die beveiliging te omzeilen. Veiligheid moet geen set-and-forget-oplossing zijn. En externe partijen moeten regelmatig komen kijken of een bedrijf eigenlijk wel voldoet aan de heersende standaarden voor beveiliging.'
Geen celstraf
Niet alleen mensen moeten nog wennen aan de digitale omgeving. Ook wet- en regelgeving is nog niet helemaal aangepast. Zo is het kopiëren van bedrijfsgeheimen nog geen diefstal volgens de wet maar computervredebreuk. Er is immers niets weggenomen. Het bedrijf heeft zijn ontwerpen, bouwtekeningen of marktstrategieën nog in bezit. Degene die de bedrijfsgeheimen kopieert, maakt zich dan hooguit schuldig aan computervredebreuk. Het verschil in straf: computervredebreuk levert maximaal een jaar cel op, diefstal maximaal vier jaar. De straffen worden overigens wel zwaarder als het aan het kabinet ligt. De regering volgt daarmee een Europese Richtlijn op. De maximale celstraf op computervredebreuk wordt verhoogd van één naar twee jaar. Bij hackaanvallen met ernstige schade wordt de maximale straf verhoogd van vier naar vijf jaar. Op het beheren van een botnet (een serie gehackte computers die aanvallen uitvoeren in opdracht van de beheerder, de herder) komt drie jaar te staan.